فضای آنلاین به سرعت در حال رشد است و فرصت های بیشتری را برای حملات سایبری در یک سیستم کامپیوتری، شبکه یا برنامه وب باز می کند. برای کاهش و آماده شدن برای چنین خطراتی، آزمایش نفوذ یک گام ضروری برای یافتن آسیبپذیریهای امنیتی است که مهاجم ممکن است از آنها استفاده کند.
تست نفوذ چیست؟
A تست نفوذ، یا "Pen test" یک تست امنیتی است که برای تمسخر یک حمله سایبری در عمل اجرا می شود. آ حمله سایبری ممکن است شامل تلاش برای فیشینگ یا نقض یک سیستم امنیتی شبکه باشد. بسته به کنترل های امنیتی مورد نیاز، انواع مختلفی از تست نفوذ در دسترس یک سازمان وجود دارد. این آزمایش را می توان به صورت دستی یا با ابزارهای خودکار از طریق لنز یک دوره عمل خاص یا روش تست قلم اجرا کرد.
چرا تست نفوذ و چه کسی درگیر است؟
شرایط "هک اخلاقی" و "آزمایش نفوذ" گاهی اوقات به جای یکدیگر استفاده می شوند، اما یک تفاوت وجود دارد. هک اخلاقی گسترده تر است امنیت سایبری زمینه ای که شامل هرگونه استفاده از مهارت های هک برای بهبود امنیت شبکه است. تست های نفوذ تنها یکی از روش هایی است که هکرهای اخلاقی از آن استفاده می کنند. هکرهای اخلاقی همچنین ممکن است تجزیه و تحلیل بدافزار، ارزیابی ریسک و سایر ابزارها و تکنیک های هک را برای کشف و رفع ضعف های امنیتی به جای ایجاد آسیب ارائه دهند.
آی بی ام هزینه گزارش نقض داده در سال 2023، میانگین جهانی هزینه نقض داده ها در سال 2023، 4.45 میلیون دلار بود که افزایش 15 درصدی در طول 3 سال را نشان می دهد. یکی از راههای کاهش این نقضها، انجام آزمایشهای دقیق و دقیق نفوذ است.
شرکتها آزمایشگرهای قلم را استخدام میکنند تا حملات شبیهسازی شده را علیه برنامهها، شبکهها و سایر داراییهای خود انجام دهند. با راه اندازی حملات جعلی، تسترهای نفوذ کمک می کنند تیم های امنیتی آسیب پذیری های امنیتی حیاتی را کشف کنید و وضعیت امنیتی کلی را بهبود بخشید. این حملات اغلب توسط تیم های قرمز یا تیم های امنیتی تهاجمی انجام می شود. این تیم قرمز تاکتیکها، تکنیکها و رویههای مهاجمان واقعی را در برابر سیستم خود سازمان به عنوان راهی برای ارزیابی ریسک امنیتی شبیهسازی میکند.
چندین روش تست نفوذ وجود دارد که باید هنگام ورود به فرآیند تست قلم در نظر بگیرید. انتخاب سازمان به دسته بندی سازمان هدف، هدف آزمون قلم و محدوده آزمون امنیتی بستگی دارد. هیچ رویکردی برای همه وجود ندارد. این نیاز به یک سازمان دارد که مسائل امنیتی و خط مشی امنیتی خود را درک کند تا قبل از فرآیند تست قلم، یک تجزیه و تحلیل آسیب پذیری منصفانه وجود داشته باشد.
دموی تست قلم را از X-Force تماشا کنید
5 روش برتر تست نفوذ
یکی از اولین گامها در فرآیند تست قلم، تصمیمگیری درباره روششناسی است که باید دنبال شود.
در زیر، ما به پنج مورد از محبوبترین چارچوبهای تست نفوذ و روشهای تست قلم میپردازیم تا به راهنمایی ذینفعان و سازمانها برای رسیدن به بهترین روش برای نیازهای خاصشان کمک کنیم و اطمینان حاصل کنیم که همه حوزههای مورد نیاز را پوشش میدهد.
1. راهنمای روششناسی تست امنیت منبع باز
راهنمای روششناسی تست امنیت منبع باز (OSSTMM) یکی از محبوبترین استانداردهای تست نفوذ است. این متدولوژی برای تست امنیتی مورد بررسی قرار گرفته و توسط موسسه امنیت و روشهای باز (ISECOM) ایجاد شده است.
این روش مبتنی بر رویکردی علمی برای تست قلم با راهنماهای قابل دسترس و سازگار برای آزمایش کنندگان است. OSSTMM شامل ویژگی های کلیدی، مانند تمرکز عملیاتی، آزمایش کانال، معیارها و تجزیه و تحلیل اعتماد در متدولوژی خود است.
OSSTMM چارچوبی برای تست نفوذ شبکه و ارزیابی آسیب پذیری برای متخصصان تست قلم فراهم می کند. قرار است چارچوبی برای ارائهدهندگان برای یافتن و رفع آسیبپذیریها، مانند دادههای حساس و مسائل مربوط به احراز هویت باشد.
2. Web Application Security Project را باز کنید
OWASP، مخفف Open Web Application Security Project، یک سازمان منبع باز است که به امنیت برنامه های وب اختصاص داده شده است.
هدف این سازمان غیرانتفاعی این است که همه مطالب خود را رایگان و به راحتی برای هر کسی که میخواهد امنیت برنامه وب خود را بهبود بخشد، در دسترس قرار دهد. OWASP خود را دارد بالا 10 (لینک خارج از IBM.com) گزارشی است که به خوبی حفظ شده است و بزرگترین نگرانی ها و خطرات امنیتی برای برنامه های کاربردی وب، مانند اسکریپت نویسی بین سایتی، احراز هویت شکسته و قرار گرفتن در پشت دیوار آتش را تشریح می کند. OWASP از 10 لیست برتر به عنوان مبنایی برای راهنمای تست OWASP خود استفاده می کند.
این راهنما به سه بخش تقسیم میشود: چارچوب تست OWASP برای توسعه برنامههای کاربردی وب، روششناسی تست برنامه کاربردی وب و گزارش. روش برنامه کاربردی وب را می توان به طور جداگانه یا به عنوان بخشی از چارچوب تست وب برای آزمایش نفوذ برنامه های کاربردی وب، تست نفوذ برنامه تلفن همراه، تست نفوذ API و تست نفوذ اینترنت اشیا استفاده کرد.
3. استاندارد اجرای تست نفوذ
PTES یا استاندارد اجرای تست نفوذ، یک روش تست نفوذ جامع است.
PTES توسط تیمی از متخصصان امنیت اطلاعات طراحی شده است و از هفت بخش اصلی تشکیل شده است که تمام جنبه های تست قلم را پوشش می دهد. هدف PTES داشتن دستورالعملهای فنی برای تشریح آنچه سازمانها باید از تست نفوذ انتظار داشته باشند و آنها را در طول فرآیند، از مرحله قبل از تعامل، راهنمایی میکند.
هدف PTES این است که پایه آزمایشهای نفوذ باشد و یک روش استاندارد برای متخصصان و سازمانهای امنیتی ارائه کند. این راهنما طیف وسیعی از منابع، مانند بهترین شیوه ها را در هر مرحله از فرآیند تست نفوذ، از ابتدا تا انتها ارائه می دهد. برخی از ویژگی های کلیدی PTES بهره برداری و پس از بهره برداری است. بهره برداری به فرآیند دستیابی به یک سیستم از طریق تکنیک های نفوذ مانند مهندسی اجتماعی و شکستن پسورد پس بهره برداری زمانی است که داده ها از یک سیستم در معرض خطر استخراج می شوند و دسترسی حفظ می شود.
4. چارچوب ارزیابی امنیت سیستم اطلاعات
چارچوب ارزیابی امنیت سیستم اطلاعات (ISSAF) یک چارچوب تست قلم است که توسط گروه امنیت سیستم های اطلاعاتی (OISSG) پشتیبانی می شود.
این روش دیگر حفظ نمی شود و احتمالاً بهترین منبع برای به روزترین اطلاعات نیست. با این حال، یکی از نقاط قوت اصلی آن این است که مراحل تست خودکار را با ابزارهای خاص تست قلم پیوند می دهد. این نوع قالب می تواند پایه خوبی برای ایجاد یک روش شناسی فردی باشد.
5. موسسه ملی استاندارد و فناوری
NIST، مخفف مؤسسه ملی استاندارد و فناوری، یک چارچوب امنیت سایبری است که مجموعه ای از استانداردهای تست قلم را برای دولت فدرال و سازمان های خارجی ارائه می دهد تا از آنها پیروی کنند. NIST یک آژانس در وزارت بازرگانی ایالات متحده است و باید به عنوان حداقل استاندارد در نظر گرفته شود.
تست نفوذ NIST با راهنمایی های ارسال شده توسط NIST مطابقت دارد. برای رعایت چنین راهنماییهایی، سازمانها باید آزمایشهای نفوذ را با پیروی از مجموعه دستورالعملهای از پیش تعیینشده انجام دهند.
مراحل تست قلم
یک محدوده تعیین کنید
قبل از شروع آزمون قلم، تیم آزمایش و شرکت محدوده ای را برای آزمایش تعیین می کنند. دامنه مشخص میکند که کدام سیستمها آزمایش میشوند، چه زمانی آزمایش انجام میشود، و روشهایی که آزمایشکنندگان قلم میتوانند استفاده کنند. دامنه همچنین تعیین میکند که آزمایشکنندگان قلم چه مقدار اطلاعات از قبل داشته باشند.
آزمون را شروع کنید
مرحله بعدی آزمایش طرح محدوده و ارزیابی آسیب پذیری ها و عملکرد خواهد بود. در این مرحله می توان شبکه و اسکن آسیب پذیری را انجام داد تا درک بهتری از زیرساخت های سازمان به دست آورد. تست داخلی و تست خارجی بسته به نیاز سازمان قابل انجام است. تستهای مختلفی وجود دارد که تستکنندگان قلم میتوانند انجام دهند، از جمله تست جعبه سیاه، تست جعبه سفید و تست جعبه خاکستری. هر کدام درجات مختلفی از اطلاعات را در مورد سیستم هدف ارائه می دهند.
هنگامی که یک نمای کلی از شبکه ایجاد شد، آزمایش کنندگان می توانند تجزیه و تحلیل سیستم و برنامه های کاربردی را در محدوده داده شده شروع کنند. در این مرحله، تسترهای قلم در حال جمع آوری اطلاعات تا حد امکان برای درک هرگونه پیکربندی نادرست هستند.
گزارش یافته ها
مرحله آخر گزارش و بررسی است. در این مرحله، تهیه یک گزارش تست نفوذ با تمام یافتههای آزمایش قلم که آسیبپذیریهای شناساییشده را مشخص میکند، مهم است. گزارش باید شامل طرحی برای کاهش و خطرات احتمالی در صورت عدم اصلاح باشد.
تست قلم و IBM
اگر سعی کنید همه چیز را آزمایش کنید، زمان، بودجه و منابع خود را هدر خواهید داد. با استفاده از یک بستر ارتباطی و همکاری با داده های تاریخی، می توانید شبکه ها، برنامه ها، دستگاه ها و سایر دارایی های پرخطر را متمرکز، مدیریت و اولویت بندی کنید تا برنامه تست امنیتی خود را بهینه کنید. X-Force® Red Portal به همه افراد درگیر در اصلاح این امکان را میدهد که بلافاصله پس از کشف آسیبپذیریها، یافتههای آزمایش را مشاهده کنند و آزمایشهای امنیتی را در زمانی که راحت هستند برنامهریزی کنند.
خدمات تست نفوذ شبکه X-Force را کاوش کنید
این مقاله به شما کمک کرد؟
بلهنه
بیشتر از تحول کسب و کار
خبرنامه های آی بی ام
خبرنامهها و بهروزرسانیهای موضوعی ما را دریافت کنید که جدیدترین رهبری فکری و بینش را در مورد روندهای نوظهور ارائه میدهد.
مشترک شدن در حال حاضر
خبرنامه های بیشتر
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.ibm.com/blog/pen-testing-methodology/
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 1
- 10
- ٪۱۰۰
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- ٪۱۰۰
- 39
- 40
- 400
- 7
- 80
- 9
- ٪۱۰۰
- a
- درباره ما
- دسترسی
- در دسترس
- دقیق
- عمل
- اضافه
- پیشرفت
- تبلیغات
- پس از
- در برابر
- نمایندگی
- پیش
- اهداف
- تراز می کند
- معرفی
- قبلا
- همچنین
- amp
- an
- تحلیل
- علم تجزیه و تحلیل
- تجزیه و تحلیل
- و
- هر
- هر کس
- API
- کاربرد
- برنامه توسعه
- امنیت نرم افزار
- برنامه های کاربردی
- روش
- برنامه های
- هستند
- مناطق
- مقاله
- AS
- جنبه
- ارزیابی کنید
- ارزیابی
- دارایی
- At
- حمله
- کوشش
- تصدیق
- نویسنده
- خودکار
- در دسترس
- میانگین
- به عقب
- بانکداری
- مستقر
- خط مقدم
- اساس
- BE
- پشت سر
- بهترین
- بهترین شیوه
- بهتر
- بزرگترین
- جعبه سیاه
- بلاگ
- وبلاگ ها
- آبی
- پایین
- مارک های
- شکاف
- نقض
- به ارمغان می آورد
- شکسته
- بودجه
- ساختن
- کسب و کار
- تاجر
- اما
- دکمه
- by
- CAN
- ظرفیت
- سرمایه
- بازارهای سرمایه
- کربن
- کارت
- کارت ها
- Осторожно
- حمل
- CAT
- دسته بندی
- علت
- متمرکز کردن
- تغییر دادن
- تبادل
- کانال
- بررسی
- وارسی
- انتخاب
- محافل
- CIS
- کلاس
- همکاری
- همکاران
- رنگ
- آینده
- تجارت
- ارتباط
- شرکت
- شرکت
- مقايسه كردن
- رقابتی
- پیچیدگی ها
- انطباق
- مطابق
- جامع
- در معرض خطر
- کامپیوتر
- نگرانی ها
- در نظر بگیرید
- در نظر گرفته
- مصرف کنندگان
- ظرف
- ادامه دادن
- ادامه
- به طور مداوم
- قرارداد
- کنترل
- گروه شاهد
- راحتی
- هزینه
- مقابله با
- دوره
- پوشش
- را پوشش می دهد
- ترک خوردن
- ایجاد شده
- ایجاد
- بحرانی
- CSS
- سفارشی
- مشتری
- انتظارات مشتری
- تجربه مشتری
- وفاداری مشتری
- مشتریان
- CX
- حمله سایبری
- حملات سایبری
- امنیت سایبری
- داده ها
- نقض داده ها
- امنیت داده ها
- تاریخ
- پرسش کردن
- تصمیم گیری
- کاهش
- اختصاصی
- به طور پیش فرض
- تعاریف
- ارائه
- تحویل
- تقاضا
- توده مردم
- بخش
- گروه ها
- بستگی دارد
- بستگی دارد
- شرح
- طراحی
- تعیین می کند
- توسعه
- در حال توسعه
- پروژه
- دستگاه ها
- تفاوت
- مختلف
- كشف كردن
- شیرجه رفتن
- تقسیم شده
- do
- میکند
- انجام شده
- هر
- به آسانی
- لبه
- سنگ سنباده
- را قادر می سازد
- تلاش کن
- اطمینان حاصل شود
- وارد
- به خصوص
- تاسیس
- اتر (ETH)
- اخلاقی
- حتی
- حوادث
- تا کنون
- هر کس
- همه چیز
- برتری
- اعدام
- خروج
- انتظار
- انتظارات
- تجربه
- توضیح دادن
- بهره برداری
- بررسی
- خارجی
- کارخانه
- منصفانه
- جعلی
- غلط
- امکانات
- فدرال
- دولت فدرال
- رشته
- پرونده
- نهایی
- سرمایه گذاری
- مالی
- خدمات مالی
- پیدا کردن
- پیدا کردن
- یافته ها
- پایان
- فایروال
- نام خانوادگی
- مراحل اول
- پنج
- رفع
- تمرکز
- به دنبال
- پیروی
- فونت
- برای
- قالب
- چهارم
- یافت
- پایه
- چارچوب
- چارچوب
- رایگان
- از جانب
- تابع
- قابلیت
- آینده
- به دست آوردن
- جمع آوری
- ژنراتور
- دریافت کنید
- گرفتن
- داده
- جهانی
- هدف
- خوب
- مغازه
- حکومت
- دولت
- توری
- گروه
- شدن
- راهنمایی
- راهنمایی
- دستورالعمل ها
- راهنما
- هکرها
- هک
- رخ دادن
- صدمه
- آیا
- عنوان
- ارتفاع
- کمک
- مفید
- زیاد
- ریسک بالا
- استخدام
- تاریخی
- جامع
- چگونه
- چگونه
- اما
- HTTPS
- آی بی ام
- ICO
- ICON
- شناسایی
- شناسایی
- if
- تصویر
- بلافاصله
- تأثیر
- مهم
- بهبود
- بهبود
- in
- در فروشگاه
- شامل
- شامل
- از جمله
- افزایش
- افزایشی
- شاخص
- فرد
- صنعت
- تورم
- اطلاعات
- امنیت اطلاعات
- سیستم های اطلاعاتی
- شالوده
- بینش
- موسسه
- فعل و انفعالات
- علاقه
- نرخ بهره
- داخلی
- به
- گرفتار
- اینترنت اشیا
- مسائل
- IT
- ITS
- ژانویه
- JPG
- تنها
- فقط یکی
- کلید
- چشم انداز
- بزرگ
- آخرین
- راه اندازی
- رهبری
- عدسی
- کمتر
- احتمالا
- لاین
- ارتباط دادن
- لینک ها
- فهرست
- محلی
- محل
- دیگر
- وفاداری
- ساخته
- اصلی
- حفظ
- عمده
- ساخت
- نرم افزارهای مخرب
- مدیریت
- مدیریت
- کتابچه راهنمای
- دستی
- بسیاری
- بازار
- بازار
- بازارها
- ماده
- مسائل
- حداکثر عرض
- ممکن است..
- به معنای
- روش
- متدولوژی ها
- روش شناسی
- روش
- متریک
- قدرت
- میلیون
- دقیقه
- حد اقل
- دقیقه
- کاهش
- کاهش
- موبایل
- بیش
- اکثر
- محبوبترین
- بسیار
- باید
- ملی
- جهت یابی
- لازم
- ضروری
- نیازهای
- شبکه
- امنیت شبکه
- شبکه
- جدید
- سال نو
- خبرنامه
- بعد
- نیست
- نه
- غیرانتفاعی
- هیچ چی
- اکنون
- رخ می دهد
- of
- خاموش
- توهین آمیز
- دفتر
- غالبا
- on
- ONE
- آنلاین
- باز کن
- منبع باز
- افتتاح
- قابل استفاده
- عملیات
- فرصت ها
- بهینه سازی
- بهینه
- بهینه سازی
- or
- کدام سازمان ها
- سازمان های
- دیگر
- ما
- نتایج
- طرح کلی
- نمای کلی
- طرح کلی
- خارج از
- روی
- به طور کلی
- مروری
- خود
- مالک
- قدم زدن
- با ما
- درد
- نقاط درد
- بخش
- بخش
- کلمه عبور
- بررسی شده توسط همکار
- نفوذ
- انجام دادن
- انجام
- انجام
- دارویی
- فیشینگ
- تلفن
- پی اچ پی
- برنامه
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- پلاگین
- نقطه
- سیاست
- محبوب
- پورتال
- موقعیت
- ممکن
- پست
- پتانسیل
- شیوه های
- آماده
- فشار
- اصلی
- قبلا
- اولویت بندی
- روش
- روند
- فرآیندهای
- خرید
- محصول
- توسعه محصول
- کیفیت محصول
- محصولات
- حرفه ای
- برنامه
- پروژه
- ارائه
- ارائه دهندگان
- فراهم می کند
- هدف
- دستیابی
- کیفیت
- سوالات
- محدوده
- سریعا
- نرخ
- نسبتا
- مطالعه
- واقعی
- زمان واقعی
- قرمز
- کاهش
- اشاره دارد
- ماندن
- تصفیه
- گزارش
- گزارش
- ضروری
- نیاز
- اقامت دارد
- تصمیم
- منابع
- پاسخگو
- نگه داشتن
- خطر
- ارزیابی ریسک
- خطرات
- ربات ها
- اتاق
- دویدن
- s
- حراجی
- پس انداز
- پویش
- برنامه
- علمی
- حوزه
- محدوده بندی
- پرده
- اسکریپت
- بخش
- بخش ها
- تیم امنیت لاتاری
- تست امنیتی
- حساس
- فرستاده
- جستجوگرها
- سرور
- سرویس
- خدمات
- تنظیم
- هفت
- چند
- کوتاه
- باید
- نشان
- نشان می دهد
- طرف
- سیگنال
- سایت
- مهارت ها
- کوچک
- هوشمند
- So
- حل کردن
- برخی از
- گاهی
- منبع
- فضا
- خاص
- خرج کردن
- حمایت مالی
- مربع
- صحنه
- استقرار
- سهامداران
- استاندارد
- استاندارد
- استانداردهای
- شروع
- راه افتادن
- اقامت
- گام
- مراحل
- opbevare
- استراتژی
- نقاط قوت
- قوی
- مهاجرت تحصیلی
- مشترک
- موفق
- چنین
- پشتیبانی
- تعجب آور
- اطراف
- SVG
- سیستم
- سیستم های
- تاکتیک
- هدف
- تیم
- تیم ها
- فنی
- تکنیک
- فنی
- پیشرفته
- تمایل
- قوانین و مقررات
- سومین
- آزمون
- آزمایش
- تسترها
- تست
- تست
- نسبت به
- با تشکر
- که
- La
- اطلاعات
- شان
- آنها
- موضوع
- آنجا.
- اینها
- آنها
- فکر می کنم
- این
- کسانی که
- فکر
- رهبری فکر
- سه
- از طریق
- سراسر
- زمان
- عنوان
- به
- امروز
- با هم
- هم
- ابزار
- بالا
- بالا 10
- موضوع
- دگرگونی
- روند
- اعتماد
- امتحان
- سرکش
- توییتر
- نوع
- انواع
- ما
- برملا کردن
- کشف
- زیر
- فهمیدن
- درک
- پیش بینی نشده
- در جریان روز
- به روز رسانی
- URL
- دلار آمریکا
- استفاده کنید
- استفاده
- استفاده
- با استفاده از
- تنوع
- متفاوت است
- چشم انداز
- قابل رویت
- آسیب پذیری ها
- آسیب پذیری
- ارزیابی آسیب پذیری
- اسکن آسیب پذیری
- W
- می خواهد
- بود
- ضایعات
- مسیر..
- we
- نقاط ضعف
- هوا
- وب
- برنامه تحت وب
- برنامه های وب
- چی
- چه زمانی
- چه
- که
- در حین
- WHO
- چرا
- اراده
- با
- در داخل
- وردپرس
- کارگران
- کارگر
- شایسته
- خواهد بود
- نویسنده
- کتبی
- XML
- سال
- سال
- شما
- جوان
- شما
- زفیرنت